受疫情影响越来越多的人开始在家远程办公，这也让 Zoom 这款在线视频会议水涨船高。在使用度、热度持续攀升的同时，不重视用户隐私、存在诸多安全漏洞等各种负面内容也接踵而至。迫使公司宣布冻结新功能发布 90 天，以修复当前软件中存在的各种漏洞。 今天，安全研究人员 Tom Anthony 公布了 Zoom 的一个关键安全漏洞。通过这个漏洞，任何人都可以加入受密码保护的 Zoom 会议。Zoom 会议默认由 6 位数字密码保护。所以，有可能出现 100 万个不同的密码。 Tom 发现，Zoom的网络客户端允许任何人检查会议的密码是否正确，没有任何尝试次数的限制。因此，攻击者可以写一个小的 Python 代码来尝试所有的 100 万个密码，并在几分钟内找到正确的密码。 在 Tom 向 Zoom 报告了这个问题之后，Zoom 的网络客户端就进行了离线维护。Zoom 要求用户在 web 客户端中登录加入会议，以及更新默认会议密码为非数字和更长的密码来缓解这个问题。 尽管这个问题现在已经被修复，但它引发了以下令人不安的问题—是否已经有攻击者利用这个漏洞来监听其他人的视频会议？例如政府会议？     （稿源：cnBeta，封面源自网络。）

据外媒ZDNet报道，数字银行应用和科技独角兽Dave.com周日证实了一个安全漏洞，此前有黑客在公共论坛上公布了7516625名用户的详细资料。在周日致ZDNet的一封电子邮件中，Dave表示，安全漏洞源于前商业合作伙伴Waydev的网络，Waydev是一个工程团队使用的分析平台。 “由于Waydev（Dave的前第三方服务提供商之一）的漏洞，最近有恶意方未经授权访问了Dave的某些用户数据。”一位发言人告诉ZDNet。 该公司表示，已经堵住了黑客的入口点，并正在通知客户该事件。Dave应用密码被曝光后，也正在重新设置。Dave发言人称：“当Dave意识到这一事件后，公司立即启动了调查，调查正在进行中，并正在与执法部门协调，包括与FBI协调，围绕恶意方声称已经‘破解’了其中一些密码，并试图出售Dave客户数据。” 该公司还邀请了网络安全公司CrowdStrike协助调查。 ZDNet于7月25日凌晨得知了这一安全漏洞。有读者向ZDNet爆料称，有黑客在RAID上提供Dave应用的用户数据，该论坛以黑客泄露数据库的首选之地而闻名。这名黑客“ShinyHunters”也曾入侵和泄露/出售许多其他公司的数据，包括Mathway、Tokopedia、Wishbone等。 Dave数据目前以免费下载的形式提供–在论坛成员使用论坛积分解锁下载链接后。该数据包括丰富的信息，如真实姓名、电话号码、电子邮件、出生日期和家庭地址。数据中还包括社会安全号码，但Dave表示这些细节都被加密了–ZDNet在获得数据副本后证实了这一点。 密码也包括在内，但使用bcrypt进行了散列，这种散列功能可以防止黑客查看明文密码。Dave表示，目前，他们没有证据表明黑客利用这些数据访问用户账户并执行任何未经授权的行动。     （稿源：cnBeta，封面源自网络。）

据外媒BuzzFeed News报道，7月19日，使用GEDmatch网站上传DNA信息、寻找亲属填写家谱的家谱爱好者们得到了一个不愉快的消息。突然间，一直被隐藏起来的100多万份DNA资料，被警察利用该网站找到与犯罪现场DNA部分匹配的资料，供警察搜索。 这个消息破坏了去年12月收购GEDmatch的法医遗传学公司Verogen的努力，使用户相信它将保护他们的隐私，同时追求基于使用遗传谱系帮助解决暴力犯罪的业务。 第二个警报发生在7月21日，总部位于以色列的家谱网站MyHeritage宣布，其部分用户受到钓鱼攻击，以获取他们在该网站的登录信息–显然是针对两天前GEDmatch被攻击时获得的电子邮件地址。 在一份通过电子邮件发给BuzzFeed News并发布在Facebook上的声明中，Verogen解释说，本应对执法部门隐藏的GEDmatch资料突然被揭开，是 “通过现有用户账户对我们的一个服务器进行复杂的攻击而策划的”。 “由于这个漏洞，所有用户的权限被重置，使得所有用户都能看到所有的档案。这种情况大约持续了3个小时，”声明指出。“在此期间，没有选择参加执法匹配的用户可以进行执法匹配，反之，所有执法档案对GEDmatch用户可见。” 2018年4月，随着被指控为金州杀手的Joseph James DeAngelo被捕，调查性遗传系谱爆发了。DeAngelo上个月承认了13起谋杀案，并承认了数十起其他罪行。调查人员在1980年的一起双重谋杀案现场发现的DNA与GEDmatch上属于凶手远亲的资料进行了部分匹配。通过艰苦的研究，他们建立了家族系谱，最终汇聚到了DeAngelo身上。 此后，又有几十名涉嫌谋杀和强奸的人被以类似的方式确认。但这在家谱界引起了很大的分歧。虽然现在一些家谱学家正在与警方合作，但也有人认为，基因隐私已经受到了损害。 在该网站为了让警方调查一起不太严重的暴力袭击事件而影响自己的规则后，GEDmatch的解决方案是用户必须明确选择接受执法部门的搜索。根据Verogen的数据，在黑客攻击之前，145万份资料中大约有28万份资料已经选择加入。周日的漏洞改变了设置，使145万份DNA资料都选择了执法部门的搜索。 这场争论双方的家谱学家告诉BuzzFeed新闻，他们担心新的安全漏洞会阻止人们将他们的DNA档案放在网上–既伤害了在线家谱社区，也伤害了解决冷门案件的努力。“这是一个全新的坏境，”加利福尼亚州利弗莫尔的家谱学家Leah Larkin是一个直言不讳的基因隐私倡导者，他告诉BuzzFeed News。 “从长远来看，如果人们决定他们对GEDmatch的信心减少，并导致更多的个人资料被删除，这不是一件好事，”Parabon NanoLabs公司的首席谱系学家CeCe Moore告诉BuzzFeed新闻，该公司与警方合作解决暴力犯罪。 目前还不清楚是否有任何未经授权的资料被执法部门搜索过。然而，Moore告诉BuzzFeed News，她的团队负责迄今为止通过基因谱系对犯罪嫌疑人进行的大部分鉴定，当时处于离线状态。她表示：“我们没有看到任何不该看到的东西。” 在最初的黑客攻击之后，GEDmatch的正常服务曾短暂恢复，但在7月20日，Moore注意到所有档案的权限又被调换了，这次是阻止了整个数据库中的执法搜索，但却让标记为 “研究 “的档案变得可见，而这些档案本应在所有搜索中被隐藏。 网站很快就被下线了，取而代之的是一条信息。“gedmatch网站已被关闭进行维护， 目前没有ETA。” “我们正在与一家网络安全公司合作，进行全面的取证审查，并帮助我们实施最佳的安全措施。”Verogen在第二次事件发生后发布的声明中说。 这次泄露事件让Verogen很尴尬，7个月前Verogen收购该网站时，用户希望它能为基因隐私带来更专业的方法。在Verogen之前，GEDmatch由两位业余家谱爱好者Curtis Rogers和John Olson创立并运营。不过，该公司的声明还是让用户放心：”没有用户数据被下载或泄露”。 这一结论在7月21日受到质疑，当时家谱网站MyHeritage警告其客户，那些在GEDmatch拥有账户的人被一封钓鱼邮件盯上了，该邮件将他们发送到一个域名为myheritaqe.com的虚假登录页面–该页面将MyHeritage中的 “g “替换为 “q”–以获取他们的用户名和密码。 “由于GEDmatch在两天前遭遇了数据泄露，我们怀疑肇事者就是通过这种方式获得了他们的电子邮件地址和姓名，以进行这种滥用行为，”MyHeritage在一篇博客文章中指出。 “我们发现，其中有16人已经成为该网站的受害者，并在其中输入了密码。到目前为止，这个数字可能更高。我们试图分别联系这些用户，警告他们再次更改密码，并在MyHeritage上设置双因素认证。”该公司表示。 与GEDmatch不同，MyHeritage不允许其数据库被警方使用。但没有证据表明这些黑客是由警察实施的，他们试图颠覆对执法搜索的限制。目前黑客攻击的动机尚不清楚。   （稿源：cnBeta，封面源自网络。）  

美国国土安全部（DHS）下属的网络安全部门本周四发布行政令，要求联邦民用机构立即对新发现的 Windows 漏洞 SIGRed 进行安全修复，理由是该漏洞对这些的机构的安全构成了“不可接受的重大风险”。 这是 DHS 下属的网络安全和基础设施安全局（Cybersecurity and Infrastructure Security Agency，简称CISA）有史以来发布的第三道命令，要求各大机构在 24 小时内对用于域名系统的 Windows 服务器打补丁，或者部署其他的缓解方案。机构内并非用于 DNS，但受影响的服务器要在7月24日前打上补丁。 在指令是非常紧迫性的，CISA 强调：“基于该漏洞被利用的可能性，受影响软件在整个联邦企业中的广泛使用，机构信息系统被破坏的可能性很高，以及成功破坏的严重影响”。 Check Point的研究人员发现了Windows DNS的安全漏洞，并在5月份向微软报告。如果不打补丁，就会使Windows服务器容易受到攻击，不过微软指出，目前还没有发现这个缺陷被利用的证据。 “DNS服务器漏洞是一件非常严重的事情，”Check Point的漏洞研究团队负责人Omri Herscovici警告说。”这些漏洞类型只有少数几个发布过。每一个使用微软基础设施的组织，无论大小，如果不打补丁，都会面临重大安全风险，最坏的后果将是整个企业网络的彻底破坏。这个漏洞在微软的代码中已经存在了17年以上；既然我们能够发现这个漏洞，那么别人也已经发现了这个漏洞也不是不可能。”     （稿源：cnBeta，封面源自网络。）

微软警告称，该公司将一个17年前的Windows DNS服务器关键漏洞列为 “可蠕虫”。这样的漏洞可能允许攻击者创建特殊的恶意软件，在Windows服务器上远程执行代码，并创建恶意的DNS查询，甚至最终可能导致企业和关键部门的基础设施被入侵。 访问MSRC报告： https://msrc-blog.microsoft.com/2020/07/14/july-2020-security-update-cve-2020-1350-vulnerability-in-windows-domain-name-system-dns-server/ “蠕虫漏洞有可能在没有用户交互的情况下，通过恶意软件在易受攻击的计算机之间传播，”微软首席安全项目经理Mechele Gruhn解释说。”Windows DNS服务器是一个核心网络组件。虽然目前还不知道这个漏洞是否被用于主动攻击，但客户必须尽快应用Windows更新来解决这个漏洞。” Check Point的研究人员发现了Windows DNS的安全漏洞，并在5月份向微软报告。如果不打补丁，就会使Windows服务器容易受到攻击，不过微软指出，目前还没有发现这个缺陷被利用的证据。 今天，在所有被支持的Windows Server版本中都提供了修复该漏洞的补丁，但系统管理员必须在恶意行为者根据该漏洞制造恶意软件之前，尽快给服务器打上补丁。 “DNS服务器漏洞是一件非常严重的事情，”Check Point的漏洞研究团队负责人Omri Herscovici警告说。”这些漏洞类型只有少数几个发布过。每一个使用微软基础设施的组织，无论大小，如果不打补丁，都会面临重大安全风险，最坏的后果将是整个企业网络的彻底破坏。这个漏洞在微软的代码中已经存在了17年以上；既然我们能够发现这个漏洞，那么别人也已经发现了这个漏洞也不是不可能。” Windows 10和其他客户端版本的Windows不受该漏洞的影响，因为它只影响微软的Windows DNS Server实现。微软还发布了一个基于注册表的工作方法，以防止管理员无法快速修补服务器时紧急处理缺陷。 微软在通用漏洞评分系统(CVSS)上给出了10分的最高风险分，强调了问题的严重性。作为对比，WannaCry攻击所使用的漏洞在CVSS上的评分为8.5分。     （稿源：cnBeta，封面源自网络。）

安全研究人员在Windows的Zoom客户端中发现了一个远程代码执行漏洞，从目前来看，只有安装了Windows 7的系统才会真正暴露在风险之下。在Zoom实际解决该漏洞之前，安全公司0patch先行发布了针对该漏洞的微补丁，该公司解释说，这一漏洞的危险性较高，远程攻击者只需说服用户执行一个简单的动作，比如打开一个文件，就可以利用该漏洞。 一旦恶意文件被加载，攻击者就可以发起RCE攻击，而受害者的电脑上不会显示任何警告。虽然该漏洞存在于所有Windows版本的Zoom客户端中，但只有Windows 7电脑会受到威胁。 “这个漏洞只在Windows 7和更早的Windows版本上可以利用。它很可能在Windows Server 2008 R2和更早的版本上也可以利用，尽管我们没有测试；但是无论是哪个系统，我们的微补丁都会保护你，无论你在哪里使用Zoom Client，”0patch指出。 随后，Zoom在其Windows客户端的5.1.3版本中修补了这个错误。之前安装了0patch发布的微补丁的用户在应用Zoom官方修复版时不需要做任何事情，因为微补丁本身会自动失效。 这个漏洞表明，始终运行受到支持的Windows版本是多么重要。Windows 7的官方支持在今年1月结束，这意味着这款来自2009年的操作系统不再能够从微软获得任何新的更新和安全补丁。额外的修复程序是通过定制的安全更新(收费提供)或使用0patch等第三方产品来运送的。     （稿源：cnBeta，封面源自网络。）

新浪科技讯 北京时间7月2日早间消息，在“剑桥分析丑闻”遭到曝光后，Facebook曾经承诺在与外部开发者分享用户数据时施加时间限制，但实际期限却超出他们当初的承诺。 该公司之前表示，如果用户超过90天未与开发者互动，就将阻止该应用获取用户数据。届时，开发者需要重新获得许可才能再次获得电子邮箱、生日和所在城市等数据的访问权， 但Facebook在周三的博文中表示，这项规定在某些情况下未能顺利实施。如果用户也通过该应用与Facebook好友联系，开发者就可以同时获取这两个用户的数据。但该公司发言人称，这项漏洞却会导致开发者在获得一个活跃用户的数据时，也可以看到该用户好友的数据，即使后者已经超过90天没有打开这款应用。 Facebook透露，这一问题涉及约5000个开发者。但他们并未披露可能受此影响的用户数。 “我们在发现问题后就予以解决。”Facebook在博文中写道，“我们将会继续调查，并将继续围绕任何重大更新保持透明度。” 该漏洞是由一名Facebook工程师两周前发现的，但该公司称，他们没有理由认为相关数据遭到滥用。 Facebook在与第三方分享数据方面有过许多不良记录。这项90天的时间限制就是源自两年多以前的“剑桥分析丑闻”，那家政治数据分析公司当时购买了数百万Facebook用户的数据，但这些数据却是在用户并不知情的情况下收集的。 Facebook当时对许多数据共享产品进行限制，还实施新规，要求用户更加明确地授权外部应用使用其信息。该公司还因为这项丑闻的相关调查在2019年中与美国联邦贸易委员会签订50亿美元的隐私和解协议。(书聿)   （稿源：新浪科技，封面源自网络。）

距离本月的补丁星期二活动日还有大约两周时间，但由于在 Windows 10 以及 Windows Server 中发现了安全漏洞，今天微软发布了两个紧急安全更新。微软表示，这两个漏洞虽然没有公开披露，被黑客利用的可能性较小，但公司等不到7月14日的补丁星期二活动日发布这个更新了。 微软在安全公告中写道：“微软Windows Codecs Library处理内存中对象的方式存在远程代码执行漏洞。成功利用该漏洞的攻击者可以获取信息，进一步危害用户的系统。” 据悉，受影响的 Windows 版本包括 Windows 10 version 1709 Windows 10 version 1803 Windows 10 version 1809 Windows 10 version 1903 Windows 10 version 1909 Windows 10 version 2004 Windows Server 2019 Windows Server version 1803 Windows Server version 1903 Windows Server version 1909 Windows Server version 2004   （稿源：cnBeta，封面源自网络。）

感谢腾讯御见威胁情报中心来稿！ 原文链接：https://mp.weixin.qq.com/s/oFnOODmShuuE5OUfbZKiEQ   一、背景 腾讯安全威胁情报中心检测到ThanatosMiner（死神矿工）挖矿木马利用BlueKeep漏洞CVE-2019-0708攻击传播。攻击者将公开的Python版本BlueKeep漏洞利用代码打包生成scan.exe，大范围扫描随机生成的IP地址进行探测和攻击。 漏洞利用成功后执行shellcode下载C#编写的木马svchost.exe，然后利用该木马下载门罗币挖矿木马以及攻击模块进行下一轮攻击。因Payload程序Assembly Name为ThanatosCrypt，将该挖矿木马命名为ThanatosMiner（死神矿工）。 2019年5月15日，微软发布了针对远程桌面服务（Remote Desktop Services ）的关键远程执行代码漏洞CVE-2019-0708的安全更新，该漏洞影响某些旧版本的Windows。攻击者一旦成功触发该漏洞，便可以在目标系统上执行任意代码，该漏洞的触发无需任何用户交互操作——意味着，存在漏洞的电脑只需要连网，勿须任何操作即可能遭遇远程黑客攻击而沦陷。BlueKeep漏洞（CVE-2019-0708）是所有安全厂商高度重视的高危漏洞。 该漏洞影响旧版本的Windows系统，包括： Windows 7、WindowsServer 2008 R2、Windows Server 2008、Windows 2003、Windows XP。Windows 8和Windows10及之后版本不受此漏洞影响。 腾讯安全系列产品已全面支持对ThanatosMiner（死神矿工）挖矿木马的查杀拦截，腾讯安全专家强烈建议用户及时修补BlueKeep漏洞，避免电脑被挖矿木马自动扫描攻击后完全控制。 二、样本分析 攻击模块scan.exe通过pyinstaller打包Python代码生成exe，使用pyinstxtractor.py可解压出Python编译后的无后缀文件scan。pyinstaller在打包pyc的时候会去掉pyc的magic和时间戳，而打包的系统库文件中这两项内容会被保留，所以可以查看解压出的系统库中的magic和时间戳并添加到scan的文件头，然后将其命名为scan.pyc，并通过uncompyle6进行反编译，可以还原的Python代码scan.py。 分析发现，Python3版本编译后的二进制文件开头为e3 00 00 00 00 00 00 00，Python2版本通常为63 00 00 00 00 00 00 00。 scan.py获取本机同网段IP地址，以及随机生成的外网IP地址扫描3389端口。 利用公开的BlueKeep漏洞CVE-2019-0708攻击代码进行攻击。 漏洞攻击成功执行shellcode命令，在%Temp%目录下创建DO.vbs，下载执行http[:]//download.loginserv.net/svchost.exe。 Payload木马svchost.exe采样C#编写，代码经过Dotfuscator混淆处理，可使用开源工具De4dot去除部分混淆，程序的Assembly Name为ThanatosCrypt。 运行后会检测以下注册表项和磁盘文件判断是否在虚拟机中运行。 SYSTEM\CurrentControlSet\Enum\SCSI\Disk&Ven_VMware_&Prod_VMware_Virtual_S SYSTEM\CurrentControlSet\Control\CriticalDeviceDatabase\root#vmwvmcihostdev SYSTEM\CurrentControlSet\Control\VirtualDeviceDrivers SOFTWARE\VMWare, Inc.\VMWare Tools SOFTWARE\Oracle\VirtualBox Guest Additions C:\windows\Sysnative\Drivers\Vmmouse.sys C:\windows\Sysnative\Drivers\vmci.sys C:\windows\Sysnative\Drivers\vmusbmouse.sys C:\windows\Sysnative\VBoxControl.exe 通过IsDebuggerPresent() 、IsDebuggerAttached()、CheckRemoteDebuggerPresent()判断进程是否被调试。 若无虚拟机环境、未处于被调试状态则继续执行。 然后svchost.exe继续下载http[:]//download.loginserv.net/scan.exe进行扫描攻击，以及下载http[:]//download.loginserv.net/xmrig.exe挖矿门罗币。 IOCs Domain download.loginserv.net MD5 URL http[:]//download.loginserv.net/svchost.exe http[:]//download.loginserv.net/xmrig.exe http[:]//download.loginserv.net/scan.exe http[:]//download.loginserv.net/mine.exe   参考链接 1.Windows远程桌面服务漏洞预警（CVE-2019-0708） https://mp.weixin.qq.com/s/aTSC0YR1dxSUHVJ3pnZezA 2.漏洞预警更新：Windows RDS漏洞（CVE-2019-0708） https://mp.weixin.qq.com/s/OEjI776O3cTjtMrsPdtnpQ 3.Windows远程桌面漏洞风险逼近，腾讯安全提供全面扫描修复方案 https://mp.weixin.qq.com/s/ckVHic2oChjZmVvH_zmsHA 4.Windows远程桌面服务漏洞（CVE-2019-0708）攻击代码现身 https://mp.weixin.qq.com/s/bcANAbzONFyrxqNMssTiLg 5.RDP漏洞(BlueKeep)野外利用预警，腾讯御知免费检测 https://mp.weixin.qq.com/s/G2ZS7rKkYYvEtbxUm0odGA 6.永恒之蓝下载器木马再升级，集成BlueKeep漏洞攻击能力 https://mp.weixin.qq.com/s/_teIut43g6In9YZ7VQ2f7w

近日 Dubbo 官方报告了一个 Dubbo 远程代码执行问题（CVE-2020-1948），该问题由 Provider 反序列化漏洞引起。根据介绍，攻击者可以使用无法识别的服务名称或方法名称，并带上一些恶意参数有效载荷发送 RPC 请求。当恶意参数反序列化后，将执行一些恶意代码。 受影响的版本： 2.7.0 <= Dubbo Version <= 2.7.6 2.6.0 <= Dubbo Version <= 2.6.7 所有 2.5.x 版本（官方团队不再支持） 所有 Dubbo 版本都可以升级到 2.7.7 或更高版本，避免该漏洞：https://github.com/apache/dubbo/releases/tag/dubbo-2.7.7 详情查看邮件列表。     （稿源：开源中国，封面源自网络。）